EVALUACION DE SISTEMAS

4. EVALUACIÓN DE SISTEMAS

La elaboración de sistemas debe ser evaluada con mucho detalle, para lo cual se debe revisar si existen realmente sistemas entrelazados como un todo o bien si existen programas aislados. Otro de los factores a evaluar es si existe un plan estratégico para la elaboración de los sistemas o si se están elaborados sin el adecuado señalamiento de prioridades y de objetivos.

El plan estratégico deberá establecer los servicios que se presentarán en un futuro contestando preguntas como las siguientes:

Ø  ¿Cuáles servicios se implementarán?

Ø  ¿Cuándo se pondrán a disposición de los usuarios?

Ø  ¿Qué características tendrán?

Ø  ¿Cuántos recursos se requerirán?

La estrategia de desarrollo deberá establecer las nuevas aplicaciones, recursos y la arquitectura en que estarán fundamentados:

Ø  ¿Qué aplicaciones serán desarrolladas y cuándo?

Ø  ¿Qué tipo de archivos se utilizarán y cuándo?

Ø  ¿Qué bases de datos serán utilizarán y cuándo?

Ø  ¿Qué lenguajes se utilizarán y en que software?

Ø  ¿Qué tecnología será utilizada y cuando se implementará?

Ø  ¿Cuántos recursos se requerirán aproximadamente?

Ø  ¿Cuál es aproximadamente el monto de la inversión en hardware y software?

En lo referente a la consulta a los usuarios, el plan estratégico debe definir los requerimientos de información de la dependencia.

Ø  ¿Qué estudios van a ser realizados al respecto?

Ø  ¿Qué metodología se utilizará para dichos estudios?

Ø  ¿Quién administrará y realizará dichos estudios?

En el área de auditoría interna debe evaluarse cuál ha sido la participación del auditor y los controles establecidos.

Por último, el plan estratégico determina la planeación de los recursos.

Ø  ¿Contempla el plan estratégico las ventajas de la nueva tecnología?

Ø  ¿Cuál es la inversión requerida en servicios, desarrollo y consulta a los usuarios?

El proceso de planeación de sistemas deberá asegurarse de que todos los recursos requeridos estén claramente identificados en el plan de desarrollo de aplicaciones y datos. Estos recursos (hardware, software y comunicaciones) deberán ser compatibles con la arquitectura y la tecnología, conque se cuenta actualmente.

Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen: requerimientos del usuario, estudio de factibilidad, diseño general, análisis, diseño lógico, desarrollo físico, pruebas, implementación, evaluación, modificaciones, instalación, mejoras. Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con el de factibilidad.

La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar si el sistema es factible de realizarse, cuál es su relación costo/beneficio y si es recomendable elaborarlo.

Se deberá solicitar el estudio de factibilidad de los diferentes sistemas que se encuentren en operación, así como los que estén en la fase de análisis para evaluar si se considera la disponibilidad y características del equipo, los sistemas operativos y lenguajes disponibles, la necesidad de los usuarios, las formas de utilización de los sistemas, el costo y los beneficios que reportará el sistema, el efecto que producirá en quienes lo usarán y el efecto que éstos tendrán sobre el sistema y la congruencia de los diferentes sistemas.

En el caso de sistemas que estén funcionando, se deberá comprobar si existe el estudio de factibilidad con los puntos señalados y compararse con la realidad con lo especificado en el estudio de factibilidad

Por ejemplo en un sistema que el estudio de factibilidad señaló determinado costo y una serie de beneficios de acuerdo con las necesidades del usuario, debemos comparar cual fue su costo real y evaluar si se satisficieron las necesidades indicadas como beneficios del sistema.

Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el costo de los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), tiempo, personal y operación, cosa que en la práctica son costos directos, indirectos y de operación.

Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costos de operación, la reducción del tiempo de proceso de un sistema. Mayor exactitud, mejor servicio, una mejoría en los procedimientos de control, mayor confiabilidad y seguridad.

4.1. Documentación y estándares

Una buena documentación es esencial para lograr un diseño correcto y un mantenimiento eficiente de los sistemas.       Además de ser precisa y completa, la documentación debe ser algo instructiva, de modo que se pueda averiguar cómo funciona el sistema con solo leer la documentación.

Estándares Básicos De Documentación:

Ø  Debe ser rotulada con claridad y bien organizada, con secciones claramente indicadas.

Ø  La documentación deberá ser completa.

Ø  Se incluirá una leyenda o explicación de los términos utilizados.

Ø  La documentación siempre se conserva actualizada.

 

4.2. Confidencialidad de los sistemas 

Servicio de seguridad o condición que asegura que la información no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados. También puede verse como la capacidad del sistema para evitar que personas no autorizadas puedan acceder a la información almacenada en él.

La confidencialidad es importante porque la consecuencia del descubrimiento no autorizado puede ser desastrosa. Los servicios de confidencialidad proveen protección de los recursos y de la información en términos del almacenamiento y de la información, para asegurarse que nadie pueda leer, copiar, descubrir o modificar la información sin autorización. Así como interceptar las comunicaciones o los mensajes entre entidades.

 

4.3. Seguridad de los sistemas

Acceso físico al área de sistemas. Acceso, uso, mantenimiento y resguardo de las bases de datos. Del personal informático. De las instalaciones del área de sistemas. Plan de contingencias. Seguridad lógica del sistema.

 

Evaluación administrativa del área de sistemas De la misión, visión, objetivos, estrategias, planes, programas, estructura de la organización, perfil de puestos. 

Evaluación de la documentación de sistemas, de la seguridad y la protección de los archivos informáticos, instalaciones. 

 Evaluación de la capacitación, adiestramiento y promoción del personal. 

 Evaluación del desarrollo de proyectos informáticos, estandarización de metodologías, programas, equipos, sistemas, mobiliario. Lista de verificación (o lista de chequeo).Instrumento que contiene criterios o indicadores a partir de los cuales se miden y evalúan las características del objeto, comprobando si cumple con los atributos establecidos. La lista de verificación se utiliza básicamente en la práctica de la investigación que forma parte del proceso de evaluación.

4.4. Análisis costo-beneficio de los sistemas contra costo-beneficio obtenido

El análisis de costo-beneficio es un término que se refiere tanto a

Ø  una disciplina formal (técnica) a utilizarse para evaluar, o ayudar a evaluar, en el caso de un proyecto o propuesta, que en sí es un proceso conocido como evaluación de proyectos.

Ø  un planteamiento informal para tomar decisiones de algún tipo, por naturaleza inherente a toda acción humana.

Bajo ambas definiciones, el proceso involucra, ya sea explícita o implícitamente, un peso total de los gastos previstos en contra del total de los beneficios previstos de una o más acciones con el fin de seleccionar la mejor opción o la más rentable. Muy relacionado, pero ligeramente diferentes, están las técnicas formales que incluyen análisis costo-eficacia y análisis de la eficacia del beneficio.

El costo-beneficio es una lógica o razonamiento basado en el principio de obtener los mayores y mejores resultados al menor esfuerzo invertido, tanto por eficiencia técnica como por motivación humana. Se supone que todos los hechos y actos pueden evaluarse bajo esta lógica, aquellos dónde los beneficios superan el costo son exitosos, caso contrario fracasan. 

 

4.5. Encuesta a usuarios

 

La entrevista se deberá llevar a cabo para comprobar datos proporcionados y la situación de la dependencia en el departamento de Sistemas de Información .

Su objeto es conocer la opinión que tienen los usuarios sobre los servicios proporcionados, así como la difusión de las aplicaciones de la computadora y de los sistemas en operación.

Las entrevistas se deberán hacer, en caso de ser posible, a todos los usuarios o bien en forma aleatoria a algunos de los usuarios, tanto de los más importantes como de los de menor importancia, en cuanto al uso del equipo.

Desde el punto de vista del usuario los sistemas deben:

Ø  Cumplir con los requerimientos totales del usuario.

Ø  Cubrir todos los controles necesarios.

Ø  No exceder las estimaciones del presupuesto inicial.

Ø  Serán fácilmente modificables.

Para que un sistema cumpla con los requerimientos del usuario, se necesita una comunicación completa entre usuarios y responsable del desarrollo del sistema.

En esta misma etapa debió haberse definido la calidad de la información que será procesada por la computadora, estableciéndose los riesgos de la misma y la forma de minimizarlos. Para ello se debieron definir los controles adecuados, estableciéndose además los niveles de acceso a la información, es decir, quién tiene privilegios de consulta, modificar o incluso borrar información.

Esta etapa habrá de ser cuidadosamente verificada por el auditor interno especialista en sistemas y por el auditor en informática, para comprobar que se logró una adecuada comprensión de los requerimientos del usuario y un control satisfactorio de información.

Para verificar si los servicios que se proporcionan a los usuarios son los requeridos y se están proporcionando en forma adecuada, cuando menos será preciso considerar la siguiente información.

Ø  Descripción de los servicios prestados.

Ø  Criterios de evaluación que utilizan los usuarios para evaluar el nivel del servicio prestado.

Ø  Reporte periódico del uso y concepto del usuario sobre el servicio.

Ø  Registro de los requerimientos planteados por el usuario.

Con esta información se puede comenzar a realizar la entrevista para determinar si los servicios proporcionados y planeados por la dirección de Informática cubren las necesidades de información de las dependencias.

A continuación se presenta una guía de cuestionario para aplicarse durante la entrevista con el usuario.

1. ¿Considera que el Departamento de Sistemas de Información de los resultados esperados?.-
Si ( ) No ( )
¿Por qué?

2. ¿Cómo considera usted, en general, el servicio proporcionado por el Departamento de Sistemas de Información?
Deficiente ( )
Aceptable ( )
Satisfactorio ( )
Excelente ( )
¿Por qué?

3. ¿Cubre sus necesidades el sistema que utiliza el departamento de cómputo?
No las cubre ( )
Parcialmente ( )
La mayor parte ( )
Todas ( )
¿Por qué?

4. ¿Hay disponibilidad del departamento de cómputo para sus requerimientos?
Generalmente no existe ( )
Hay ocasionalmente ( )
Regularmente ( )
Siempre ( )
¿Por qué?

5. ¿Son entregados con puntualidad los trabajos?
Nunca ( )
Rara vez ( )
Ocasionalmente ( )
Generalmente ( )
Siempre ( )
¿Por qué?

6. ¿Qué piensa de la presentación de los trabajadores solicitados al departamento de cómputo?
Deficiente ( )
Aceptable ( )
Satisfactorio ( )
Excelente ( )
¿Por qué?

7. ¿Qué piensa de la asesoría que se imparte sobre informática?
No se proporciona ( )
Es insuficiente ( )
Satisfactoria ( )
Excelente ( )
¿Por qué?

8. ¿Qué piensa de la seguridad en el manejo de la información proporcionada por el sistema que utiliza?
Nula ( )
Riesgosa ( )
Satisfactoria ( )
Excelente ( )
Lo desconoce ( )
¿Por qué?

9. ¿Existen fallas de exactitud en los procesos de información?
¿Cuáles?

10. ¿Cómo utiliza los reportes que se le proporcionan?

11. ¿Cuáles no Utiliza?

12. De aquellos que no utiliza ¿por qué razón los recibe?

13. ¿Qué sugerencias presenta en cuanto a la eliminación de reportes modificación, fusión, división de reporte?

14. ¿Se cuenta con un manual de usuario por Sistema?
SI ( ) NO ( )

15.¿Es claro y objetivo el manual del usuario?
SI ( ) NO ( )

16¿Qué opinión tiene el manual?
NOTA: Pida el manual del usuario para evaluarlo.

17. ¿Quién interviene de su departamento en el diseño de sistemas?

18. ¿Qué sistemas desearía que se incluyeran?

19. Observaciones:

METODOLOGIA

3. METODOLOGÍA 

Secuencia de pasos lógicos y ordenada de proceder para llegar a un resultado, generalmente existen diversas formas de obtener un resultado determinado y de esto se deriva las existencias de varias metodologías para llevar a cabo una auditoria informática.

 3.1. Investigación preliminar

Ø  recolección de evidencias por medio de entrevistas con el personal de la instalación, la observación de las actividades en la instalación y la revisión de la documentación preliminar.

Ø  Debemos considerar que ésta será sólo una información inicial que nos permitirá elaborar el plan de trabajo, la cual se profundizará en el desarrollo de la auditoría.

 

 

3.2. Planeación de la auditoría en informática 

Para realizar una auditoria hay que dimensionar el tamaño y característica del área auditar, sus sistemas, con ello podremos definir el número y características del personal de auditoria

El trabajo de auditoría deberá incluir la planeación de la auditoría, el examen y la evaluación de la información, la comunicación de los resultados y el seguimiento.

La planeación de la auditoría deberá ser documentada e incluirá:

Ø  El establecimiento de los objetivos y el alcance del trabajo.

Ø  La obtención de información de apoyo sobre las actividades que se auditarán.

Ø  La determinación de los recursos necesarios para realizar la auditoría.

Ø  El establecimiento de la comunicación necesaria con todos los que estarán involucrados en la auditoría.

 

 

 

 

3.3. Obtención de información

En esta fase se obtendrán toda la información pertinente sobre el caso estudiado pudiendo recurrir a herramientas como, entrevistas, encuestas, observaciones dependiendo del tipo de información que se necesite para la auditoria.

3.4. Análisis, evaluación y presentación de la auditoría

 

El análisis suministra una base de comprensión, para llegar a conocer la situación con mayor claridad.

Una vez obtenida la información, se analiza, para conocer la eficiencia con que la empresa ha logrado o está logrando sus objetivos y las causas ·que reducen su eficiencia.

 

El informe de auditoría 

Después de haber analizado la información tenemos que elaborar un informe, el cual es un instrumento para la toma de decisiones.

El informe indica la situación administrativa de la empresa y da las recomendaciones y las formas de mejorarlas.

Implantación de las recomendaciones La implantación de las recomendaciones hechas por el auditor debe ponerse en vigor para solucionar el problema que originó la auditoría administrativa. Aquí se aplicarán las medidas de mejoramiento administrativo.

3.5. Dictamen de la auditoría

La principal función de un auditor y la mayor responsabilidad que sobre el recae en la actividad independiente es la expresión de una opinión profesional sobre los controles examinados.

Este informe se conoce como informe de auditoría o dictamen, siendo un documento formal por el cual el auditor otorga confiabilidad al producto de sistema de información auditado validando ante terceros dicha información.

 

3.6. Organización del área de auditoría en informática 

Ø  SISTEMAS DE INFORMACIÓN DE UNA ORGANIZACIÓN

Los sistemas de información y la arquitectura que los soporta son muy importantes debido a que son soportes básicos para la gestión y control del negocio, siendo así uno de los requerimientos básicos de cualquier organización ya sea dentro del contexto estratégico como el operativo. 

Ø  DEPARTAMENTO DE SISIEMAS DE INFORMACIÓN

Se encarga de llevar una organización para cumplir el objetivo de dichos sistemas, los recursos que los manejan y las inversiones que se ponen a disposición de dichos recursos para que el funcionamiento y los resultados sean los esperados.  

Ø  AUDITORIA INFORMATICA

Es una función de control de la gestión de los sistemas y del departamento de sistemas de información.

Ø  FUNCIÓN DE AUDITORIA INFORMATICA

La auditoria, la revisión, el diagnóstico y el control de los sistemas de información y de los sistemas informativos que soportan estos debe ser realizado por personas con experiencia en ambas disciplinas: en informática y auditoria.

Ø  AUDITOR INFORMÁTICO GENERAL

Es un profesional dedicado al análisis de sistemas de información e informáticos que esta especializado en algunas de las múltiples ramas de la auditoria informática, que tiene conocimientos generales y que además posea las características necesarias para actuar como consultor con su auditado, dándole ideas de cómo enfocar la construcción de los elementos de control y de gestión y actuar como consejero en la organización en la que está desarrollando su labor. 

Ø  PERFILES PROFESIONALES DE LA FUNCION DE AUDITORIA INFORMATICA

Las personas que integren esta función deben contemplar en su formación básica una mezcla de conocimientos de auditoria financiera y de auditoria informática general.

Conocimientos básicos:

Desarrollo informático; gestión de proyectos y del ciclo de vida de un proyecto de desarrollo.

Gestión del Dpto. de Sistemas.

Análisis de riesgos en un entorno informático.

Sistema operativo (este aspecto dependerá de varios factores, pero principalmente de si va a trabajar en un entorno único-auditor interno- o, por el contrario va a tener posibilidades de trabajar en varios entornos como auditor externo).

 

Telecomunicaciones

  Gestión de bases de datos

  Redes locales

Seguridad física

  Operación y planificación informática 

  Gestión de la seguridad de los sistemas y de la continuidad empresarial

Gestión de problemas y de cambios en entornos informáticos

Administración de datos

Ofimática

  Comercio electrónico

Encriptación de datos.

 

Ø  FUNCIONES A DESARROLLAR POR LA FUNCION DE AUDITORIA INFORMATICA

Hoy en día existen múltiples controversias sobre las funciones que se desarrollan en cuanto al trabajo de auditoria informático como son:

Cuál es el objetivo?, y Que se debe revisar, analizar, o diagnosticar?

La función de auditoria informática debe realizar un amplio abanico de actividades objetivas, y estas son:

Ø  Verificación del control interno

Ø  Análisis de la gestión de los sistemas de información

Ø  Análisis de la integridad, fiabilidad y certeza de la información

Ø  Auditoria de riesgos operativos de los circuitos de información

Ø  Análisis de la gestión de los riesgos de la información

Ø  Verificación del nivel de continuidad

Ø  Análisis del estado del arte tecnológico de la instalación revisada

Ø  Diagnóstico sobre el grado de cobertura

Ø  El auditor informático es responsable para establecer los objetivos de control que reduzcan o eliminen la exposición al riesgo de control interno.

Cuando los objetivos de la auditoria se hayan establecido, el auditor debe revisar los controles y evaluar los resultados de su revisión para determinar las áreas que requieren correcciones o mejoras.

El concepto de control interno tiene la obligación de convertirse un poco en consultor y en ayuda del auditado aportando ideas.

 

La organización interna debe estar dirigida por un jefe del departamento; este desarrolla un plan operativo, las descripciones de los puestos de trabajo del personal a su cargo.